昨日お伝えしたApacheのChunkエンコードのバグによる重大な脆弱性だが、各ベンダーやセキュリティサイトの情報が多数公開されている。 しかし、実際にはDoS攻撃以外の深刻な脆弱性も存在しているにも関わらず、DoS攻撃に対する脆弱性といった情報が一部で配布されたため若干の混乱が見られた。Webサーバー管理者は引き続きこの問題に対する情報に留意する必要があるだろう。 なお現在、この問題を修正された新バージョンである、1.3系最新版「1.3.26」と、2.X系最新版「2.0.39」がリリースされているため、直ちにアップデートを施す必要がある。Apache Grouphttp://httpd.apache.org/http://httpd.apache.org/info/security_bulletin_20020617.txt最新版ダウンロードサイトhttp://www.apache.org/dist/httpd/CERT Coordination Center (CERT/CC)CA-2002-17 Apache Web Server Chunk Handling Vulnerabilityhttp://www.cert.org/advisories/CA-2002-17.htmlCERT/CC Vulnerability NoteVU#944335 Apache web servers fail to handle chunks with a negativesizehttp://www.kb.cert.org/vuls/id/944335Common Vulnerabilities and Exposures (CVE)CAN-2002-0392http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0392Internet Security Systems Security AdvisoryRemote Compromise Vulnerability in Apache HTTP Serverhttp://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=20502Internet Security Systems Security AdvisoryApache Server におけるリモートからのセキュリティ侵害の脆弱性http://www.isskk.co.jp/support/techinfo/general/Vul_ApacheServer_xforce.htmlIPAApache Web Server に脆弱性(CA-2002-17)http://www.ipa.go.jp/security/news/news.htmlSecuriteam.comRemote Compromise Vulnerability in Apache HTTP Server (Chunked Encoding)http://www.securiteam.com/unixfocus/5HP0G207FY.htmlSecurityFocusApache httpd: vulnerability with chunked encodinghttp://online.securityfocus.com/archive/1/277268/2002-06-14/2002-06-20/0SecurityFocusISS Advisory: Remote Compromise Vulnerability in Apache HTTP Serverhttp://online.securityfocus.com/archive/1/277249/2002-06-14/2002-06-20/0SecurityFocusSilicon Graphics : Apache Web Server Chunk Handling vulnerabilityhttp://online.securityfocus.com/advisories/4212SecurityFocusSilicon Graphics : Apache Web Server Chunk Handling vulnerabilityhttp://online.securityfocus.com/advisories/4213Incidents.org - Handlers Diary 2002/06/20 追加Remote Compromise Vulnerability in Apache HTTP Serverhttp://www.incidents.org/diary/index.html?id=161Debian GNU/Linux ─ Security Information 2002/06/20 追加DSA-131-1 apachehttp://www.debian.org/security/2002/dsa-131Debian GNU/Linux ─ Security Information 2002/06/20 追加DebianLinux:Apache chunk handling vulnerabilityhttp://lists.debian.org/debian-security-announce/debian-security-announce-2002/msg00041.htmlDebian GNU/Linux ─ Security Information 2002/06/20 追加DSA-131-2 apachehttp://lists.debian.org/debian-security-announce/debian-security-announce-2002/msg00042.htmlDebian GNU/Linux ─ Security Information 2002/06/20 追加DSA-132-1 apache-sslhttp://lists.debian.org/debian-security-announce/debian-security-announce-2002/msg00043.htmlSGI Security Advisory 2002/06/20 追加20020605-01-A Apache Web Server Chunk Handling vulnerabilityftp://patches.sgi.com/support/free/security/advisories/20020605-01-ALinuxsecurity 2002/06/20 追加Apache: Remote Denial of Servicehttp://www.linuxsecurity.com/advisories/other_advisory-2135.htmlSecurityFocus 2002/06/20 追加KPMG-2002024: Apache Tomcat Path Disclosurehttp://online.securityfocus.com/archive/1/277674/2002-06-16/2002-06-22/0FreeBSD 2002/06/20 追加ANNOUNCE: FreeBSD Security Notice FreeBSD-SN-02:04http://home.jp.freebsd.org/cgi-bin/showmail/announce-jp/1000VineLinux 2002/06/20 追加Apache にセキュリティホール:http://vinelinux.org/errata/25x/20020619.htmlLinuxsecurity 2002/06/20 追加SuSE: buffer overflow in httpdhttp://www.linuxsecurity.com/advisories/suse_advisory-2139.htmlLinuxsecurity 2002/06/20 追加EnGarde: 'apache' chunk handling overflow vulnerabilityhttp://www.linuxsecurity.com/advisories/other_advisory-2137.htmlLinuxsecurity 2002/06/20 追加Debian: DoS attack in the Apache web-serverhttp://www.linuxsecurity.com/advisories/debian_advisory-2138.htmlLinuxsecurity 2002/06/20 追加OpenPKG: 'apache' Buffer overflow vulnerabilityhttp://www.linuxsecurity.com/advisories/other_advisory-2141.html
